Các chuyên gia săn lùng mối đe dọa đã phát hiện hoạt động mới liên quan đến nhóm tin tặc Iran được biết đến với tên Infy (còn gọi là Prince of Persia), gần 5 năm sau khi nhóm này được quan sát nhắm mục tiêu vào các nạn nhân ở Thụy Điển, Hà Lan và Thổ Nhĩ Kỳ.
"Quy mô hoạt động của Prince of Persia lớn hơn đáng kể so với những gì chúng tôi dự đoán ban đầu," Tomer Bar, Phó Chủ tịch nghiên cứu bảo mật tại SafeBreach, cho biết trong một phân tích kỹ thuật được chia sẻ với The Hacker News. "Nhóm đe dọa này vẫn đang hoạt động, có liên quan và nguy hiểm."
Infy là một trong những nhóm APT (Advanced Persistent Threat) lâu đời nhất hiện nay, với bằng chứng về hoạt động sớm nhất từ tháng 12 năm 2004, theo một báo cáo được công bố bởi Palo Alto Networks Unit 42 vào tháng 5 năm 2016, do Bar và nhà nghiên cứu Simon Conant đồng tác giả.
Nhóm này cũng đã cố gắng giữ mình ẩn danh, ít gây chú ý, không giống như các nhóm Iran khác như Charming Kitten, MuddyWater và OilRig. Các cuộc tấn công của nhóm đã lợi dụng hai loại mã độc chính: một trình tải xuống và lập hồ sơ nạn nhân có tên Foudre, cung cấp một implant giai đoạn hai gọi là Tonnerre để trích xuất dữ liệu từ các máy có giá trị cao. Người ta đánh giá rằng Foudre được phân phối thông qua email phishing.
Những phát hiện mới nhất từ SafeBreach đã hé lộ một chiến dịch bí mật nhắm mục tiêu vào các nạn nhân ở Iran, Iraq, Thổ Nhĩ Kỳ, Ấn Độ và Canada, cũng như châu Âu, sử dụng các phiên bản cập nhật của Foudre (phiên bản 34) và Tonnerre (phiên bản 12-18, 50). Phiên bản Tonnerre mới nhất được phát hiện vào tháng 9 năm 2025.
Các chuỗi tấn công cũng chứng kiến sự thay đổi từ việc sử dụng tệp Microsoft Excel chứa macro sang nhúng một tệp thực thi bên trong các tài liệu đó để cài đặt Foudre. Có lẽ khía cạnh đáng chú ý nhất trong phương thức hoạt động của tác nhân đe dọa là việc sử dụng thuật toán tạo tên miền (DGA) để làm cho cơ sở hạ tầng Command and Control (C2) của chúng trở nên bền vững hơn.
Ngoài ra, các thành phần của Foudre và Tonnerre được biết là xác thực xem tên miền C2 có chính hãng hay không bằng cách tải xuống một tệp chữ ký RSA, sau đó mã độc giải mã bằng khóa công khai và so sánh với một tệp xác thực được lưu trữ cục bộ.
Phân tích của SafeBreach về cơ sở hạ tầng C2 cũng đã phát hiện ra một thư mục có tên "key" được sử dụng để xác thực C2, cùng với các thư mục khác để lưu trữ nhật ký liên lạc và các tệp bị đánh cắp.
"Hàng ngày, Foudre tải xuống một tệp chữ ký chuyên dụng được mã hóa bằng khóa riêng RSA bởi tác nhân đe dọa và sau đó sử dụng xác minh RSA bằng khóa công khai nhúng để xác minh rằng tên miền này là một tên miền đã được phê duyệt," Bar cho biết. "Định dạng yêu cầu là: 'https://<domain name>/key/<domain name><yy><day of year>.sig.'"
Cũng có mặt trên máy chủ C2 là một thư mục "download" mà mục đích hiện tại chưa rõ. Người ta nghi ngờ rằng nó được sử dụng để tải xuống và nâng cấp lên phiên bản mới.
Mặt khác, phiên bản Tonnerre mới nhất bao gồm một cơ chế để liên hệ với một nhóm Telegram (có tên "سرافراز," nghĩa là "tự hào" trong tiếng Ba Tư) thông qua máy chủ C2. Nhóm này có hai thành viên: một Telegram bot "@ttestro1bot" có thể được sử dụng để ra lệnh và thu thập dữ liệu, và một người dùng có tên "@ehsan8999100."
Mặc dù việc sử dụng ứng dụng nhắn tin cho C2 không phải là hiếm, điều đáng chú ý là thông tin về nhóm Telegram được lưu trữ trong một tệp có tên "tga.adr" trong một thư mục có tên "t" trên máy chủ C2. Cần lưu ý rằng việc tải xuống tệp "tga.adr" chỉ có thể được kích hoạt cho một danh sách GUID của nạn nhân cụ thể.
Công ty an ninh mạng này cũng đã phát hiện các biến thể cũ hơn được sử dụng trong các chiến dịch Foudre từ năm 2017 đến 2020 -
- Một phiên bản Foudre ngụy trang thành Amaq News Finder để tải xuống và thực thi mã độc
- Một phiên bản mới của trojan có tên MaxPinner được Foudre phiên bản 24 DLL tải xuống để theo dõi nội dung Telegram
- Một biến thể của mã độc có tên Deep Freeze, tương tự như Amaq News Finder, được sử dụng để lây nhiễm Foudre cho nạn nhân
- Một mã độc chưa xác định có tên Rugissement
"Mặc dù có vẻ đã biến mất vào năm 2022, các tác nhân đe dọa Prince of Persia đã làm điều ngược lại," SafeBreach cho biết. "Chiến dịch nghiên cứu đang diễn ra của chúng tôi về nhóm hoạt động mạnh mẽ và khó nắm bắt này đã làm nổi bật các chi tiết quan trọng về hoạt động của chúng, các máy chủ C2 và các biến thể mã độc được xác định trong ba năm qua."
Tiết lộ này được đưa ra khi phân tích liên tục của DomainTools về các vụ rò rỉ của Charming Kitten đã vẽ nên bức tranh về một nhóm tin tặc hoạt động giống một cơ quan chính phủ hơn, đồng thời thực hiện "các hoạt động gián điệp với độ chính xác hành chính". Tác nhân đe dọa này cũng đã bị vạch trần là đứng sau nhân vật Moses Staff.
"APT 35, cùng một bộ máy hành chính điều hành các hoạt động credential-phishing dài hạn của Tehran, cũng đã điều hành các hoạt động hậu cần cung cấp sức mạnh cho 'nhà hát ransomware' của Moses Staff," công ty cho biết.
"Các 'hacktivist' được cho là và đơn vị an ninh mạng của chính phủ không chỉ chia sẻ công cụ và mục tiêu mà còn cả cùng một hệ thống tài khoản phải trả. Cánh tay tuyên truyền và cánh tay gián điệp là hai sản phẩm của một quy trình làm việc duy nhất: các "dự án" khác nhau dưới cùng một chế độ đánh số nội bộ."
